Intake Rapport Scope et Baseline NIS2

Sous la Directive sur la sécurité des réseaux et de l'information (NIS2), un client est "essentiel" ou "important" s'il opère dans un secteur d'Annexe I ou II ET satisfait au test de taille (généralement 50+ équivalents temps plein ou 10 millions d'euros de chiffre d'affaires, avec exceptions sectorielles). Le Centre pour la Cybersécurité Belgique (CCB) détient la cartographie officielle.

Exemples concrets. Essentiel : un hôpital régional belge ; un service IT communal ; une banque ; un opérateur de réseau électrique ; un service d'eau potable. Important : un producteur alimentaire régional ; un grossiste chimique ; un opérateur postal. Hors périmètre : une boulangerie ; une agence marketing ; un petit cabinet juridique ; un détaillant classique.

En cas de doute mais avec plus que quelques clients dans la santé, l'administration publique, la banque, l'énergie, l'eau, le transport ou l'infrastructure numérique : choisissez Oui. Notre analyse de chaîne d'approvisionnement traite cela dans le rapport.

"Oui" signifie que l'authentification multifacteur (MFA) est imposée pour chaque compte employé sur chaque système sensible : Microsoft 365 (M365) ou Google Workspace ; Virtual Private Network (VPN) ; accès production ; panneaux d'administration ; bureau à distance. Pas d'exceptions silencieuses.

"Partiel" signifie que la MFA est imposée sur certains systèmes mais pas d'autres (par exemple M365 uniquement), ou pour certains utilisateurs mais pas d'autres (par exemple uniquement les admins mais pas le personnel régulier), ou un mélange des deux.

"Non" signifie que la MFA est optionnelle, opt-in, ou nulle part imposée.

Répondez honnêtement. Cette seule question apparaît sur chaque questionnaire de sécurité fournisseur que vous recevrez, et sur chaque auto-évaluation CyberFundamentals (CyFun) émise par le Centre pour la Cybersécurité Belgique (CCB). Le rapport ne pénalise pas l'honnêteté, mais signale tout écart que l'auditeur trouverait aussi.

Endpoint Detection and Response (EDR) et antivirus traditionnel sont parfois des produits différents. Exemples d'EDR modernes : Bitdefender GravityZone, SentinelOne, Microsoft Defender for Endpoint (la version licenciée, pas la gratuite), CrowdStrike Falcon, Sophos Intercept X. Si vous avez l'un de ceux-ci géré de manière centralisée sur vos ordinateurs portables et serveurs (avec une console à laquelle un admin ou votre Managed Service Provider se connecte) : répondez Oui.

Si vous n'avez que le Windows Defender intégré livré avec Windows, sans console de gestion centralisée, sans politiques poussées depuis un serveur, et sans visibilité pour votre équipe IT : c'est plus proche de "partiel" en pratique. Ce formulaire n'accepte ici que Oui ou Non, alors répondez Non et notre rapport signalera l'écart avec une étape de remédiation claire. Le Centre pour la Cybersécurité Belgique (CCB) considère l'EDR géré de manière centralisée comme la barre CyberFundamentals (CyFun) BASIC.

Un plan de réponse aux incidents "écrit" est un document (une à dix pages suffisent au niveau CyberFundamentals (CyFun) BASIC). Il nomme qui est responsable de quoi pendant un incident de sécurité, qui appeler (équipe interne ; clients si des données clients sont affectées ; régulateur si requis), le calendrier (les entités essentielles sous la Directive sur la sécurité des réseaux et de l'information (NIS2) ont 24 heures pour l'alerte précoce et 72 heures pour la notification d'incident, transmises au Centre pour la Cybersécurité Belgique (CCB)), et l'étape de revue post-incident.

"Écrit" signifie dans tout format durable : un document Word, une page wiki, une page Confluence, une page Notion, un classeur imprimé. Si votre plan est "dans nos têtes" mais non couché sur papier, ou qu'il vit seulement dans la signature d'e-mail de quelqu'un, répondez Non. L'honnêteté vaut mieux qu'un faux Oui ici ; l'étape de remédiation du rapport prend quelques heures à boucler.